Управление рисками и соответствие нормативным требованиям с помощью самозащищающейся сети CISCO
advertisement
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE http://www.cisco.com/global/RU/netsol/ns625/networking_solutions_white_paper0900aecd80351ea6. shtml Управление рисками и соответствие нормативным требованиям с помощью самозащищающейся сети CISCO 1. Обзор 2. Задача 3. Решение 4. Самозащищающаяся четь CISCO 5. Контроль доступа 6. Защищенное взаимодействие 7. Предотвращение угроз 8. Управление угрозами и создание отчетов 9. Защищенная инфраструктура и управление изменениями 10. Отказоустойчивость и доступность сети организации 11. Учет и создание отчетов 12. Служба расширенной поддержки 13. Единый подход к обеспечению сетевой безопасности Современные ИТ-бизнес архитектуры, ориентированные на предоставление разнообразных услуг, создают целый ряд новых деловых возможностей, но вместе с тем эти возможности порождают новые виды рисков, которыми необходимо эффективно управлять. Самозащищающаяся сеть Cisco предоставляет комплексный системный подход к управлению рисками сетевой безопасности, который поддерживает механизмы контроля и передовые методы защиты деятельности предприятия. Этот подход позволяет организациям усовершенствовать механизм управления рисками безопасности и обеспечить их соответствие нормативным требованиям. 1. 2. 3. 4. Обзор Задача Решение Самозащищающаяся сеть Cisco 1. Обзор Успешное управление предприятием зависит от умения координировать средства внутреннего контроля, а также от доступности, конфиденциальности и целостности корпоративной информации. Репутация компании, защищенность бренда и результаты финансовой деятельности организации полностью зависят от качества защиты бизнес-процессов и их соответствия растущему числу законов и постановлений. Сеть играет принципиально важную роль в достижении указанных целей, поскольку она затрагивает практически все аспекты деятельности организации и связывает между собой бизнес-процессы. Прежняя модель безопасности сети на основе периметра становится все менее подходящей для 1 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE управления рисками сетевой безопасности. Поэтому необходим комплексный системный подход, который должен быть интегрированным, совместным и адаптивным; кроме того, этот подход должен упростить механизм управления рисками информационной безопасности и обеспечить соответствие нормативным документам. 2. Задача С одной стороны, подавляющее большинство государственных и частных организаций в настоящее время все больше зависит от автоматизированных бизнес-процессов. Информационные системы и сети, поддерживающие эти процессы, теперь рассматриваются как стратегический корпоративный ресурс, который оценивается исходя из общей стратегии и целей предприятия, фиксированного уровня инвестирования и ресурсов, а также новых рисков информационной безопасности, которыми необходимо управлять. В статье «ИТуправление: Руководство для директоров» Алан Калдер считает, что «управление предприятием и управление информационными технологиями становится единым процессом, поэтому руководителям на всех уровнях в организациях любого масштаба очень важно понимать, как информационные технологии могут способствовать развитию деловых отношений и - что еще более важно - как лучше работать с рисками сетевой безопасности» (http://www.itgovernance.co.uk , Alan Calder, “IT Governance: Guidelines for Directors”). С другой стороны, организации испытывают повышенное давление со стороны правительств и отдельных лиц, заинтересованных вопросами надлежащего использования информации, в особенности частной и финансовой. В результате всем современным организациям необходимо соответствовать растущему числу законов и постановлений, так как руководящие органы и общественность предпринимают надлежащие действия, направленные на обеспечение целевого использования и защиты как корпоративной, так и частной информации. Например, организациям в Европе приходится сталкиваться с общественными обвинителями и законодателями, которые как на государственном, так и на общеевропейском уровне хорошо разбираются в законах и штрафных санкциях, число которых постоянно растет, включая следующие: 1. Директива Европейского Союза о защите данных, 1995 г. (The EU Data Protection Directive of 1995) 2. Директива Европейского Союза о конфиденциальности и электронных средствах связи, 2002 г . (The EU Directive on Privacy and Electronic Communications 2002) 3. Европейское законодательство о правах человека (European Human Rights Legislation) 4. Закон о свободе информации (Freedom of Information legislation) 5. Договор Европейского Совета о преступлениях с использованием современной вычислительной и электронной техники, 2001 г. (The Council of Europe's Convention on Cybercrime of 2001) Предприятия мирового масштаба должны в полной мере подчиняться этим законам. Кроме того, предприятиям, зарегистрированным или действующим в Соединенных Штатах, часто требуется подчиняться закону Сарбейнса-Оксли (Sarbanes-Oxley), а также другим законам, таким как закон Грэмма-Лича-Блили (Gramm-Leach-Bliley), закон HIPPA или законопроект California's Senate Bill 1386, принятый сенатом штата Калифорния. Более того, каждое финансовое учреждение в мире попадает под действие требований к производственным рискам. Организации, действующие на Среднем Востоке или в Африке, как правило, подчиняются местным нормам корпоративного управления, постановлениям о защите данных и соблюдении конфиденциальности, однако для выхода на западный рынок им необходимо следовать соответствующим нормам и требованиям к защите информации. Также существуют важные соображения по 2 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE защите информации для всех инстанций в области действия законодательства и коммерческих требований, начиная от требований местных властей по защите информации и заканчивая законами о компьютерных преступлениях, законами об «отмывании» денег, законами о спаме, постановлениями об электронной коммерции и стандартом PCI (Payment Card Industry Standard). Под влиянием этих внутренних и внешних принудительных факторов задача ИТ-управления в организации становится особенно актуальной, поскольку высшее руководство сосредотачивает внимание на проблеме согласования информационных систем и сетей со стратегией предприятия, одновременно управляя новыми рисками, связанными с угрозами конфиденциальности, целостности и доступности бизнес-процессов и информации.* Но исторически сложилось так, что подход к управлению рисками, касающимися информации и сетевой безопасности, был разбит на ряд подходов, реализуемых несколькими подразделениями и отделами организации, что приводит к удвоению усилий и дублированию технологий. Очевидно, что эти разные подходы несовместимы, усилия удваиваются, а системы контроля накладываются, противоречат или подрывают работу друг друга. Задачи оценки и создания отчетов также разбиваются на фрагменты, в результате чего руководство не имеет представления об эффективности управления рисками сетевой безопасности, равно как и о появляющихся нормативных требованиях.** Не удивительно, что, согласно Forrester Research, организации в настоящее время находятся в процессе поиска формализованного непротиворечивого подхода к управлению информационными рисками и контролю соответствия нормативным требованиям во всей организации.*** 3. Решение Очевидно, что оптимальным решением задачи управления рисками информационной безопасности и контроля соответствия нормативным требований является применение системного и комплексного подхода, основывающегося на лучших в отрасли методах и удовлетворяющего общегосударственным нормам корпоративного управления, который, в частности, не противоречил бы требованиям комитета The Committee of Sponsoring Organizations of the Treadway Commission's (COSO). Отправной точкой является создание единого, гибкого и полномасштабного механизма контроля, в рамках которого будет осуществляться соблюдение всех требований сетевой безопасности и соответствия. Данный подход, по словам Дж. Л. Баяк (J.L. Bayuk), «позволяет установить правильное соотношение рисков в масштабе предприятия и усилий по соблюдению соответствия, а также снизить расходы, связанные с операциями аудита ИТ, поскольку в случае корректно построенного предприятием механизма контроля аудиторским организациям требуется тратить гораздо меньше времени и ресурсов на оценку рисков».**** Таким образом, большое число организаций по всему миру в настоящее время осваивают данный системный подход. По словам Калдера (Calder), «существует два общепризнанных и широко применяемых механизма контроля. Первый – CobiT (Control Objectives for Information and Related Technologies) был разработан институтом IT Governance Institute в США . Второй - ISO17799 (поддерживается стандартом ISO27001) был разработан Международной организацией по стандартизации и применяется во всем мире. CobiT больше ориентирован на процессы, тогда как ISO17799 определяет оптимальные средства управления безопасностью информацией. Оба механизма представляют собой хорошую основу для разработки организационной архитектуры для согласованного и экономичного управления рисками и контроля соответствия нормативным требованиям сетевой безопасности, стандарта PCI, 3 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE директив о защите данных и права конфиденциальности, а также всех прочих действующих норм корпоративного управления и внутреннего контроля. Оба механизма - CobiT и ISO17799 - позволяют организациям применять установленные передовые методы для упрощения и объединения ИТ-процессов и внутренних средств контроля. Несмотря на то, что на практике применяется CobiT, ISO17799 жизненно необходим, поскольку он является признанным на международном уровне и предоставляет законченные средства контроля безопасности информации». (http://www.itgovernance.co.uk/page.bs7799) 4. Самозащищающаяся сеть CISCO Самозащищающаяся сеть Cisco - это первая линия корпоративной защиты, поскольку она является основой всех данных, приложений и бизнес-процессов. По данным института IT Governance institute широко распространенными элементами общей структуры контроля организации являются: средства контроля уровня организации, средства контроля приложений и общие средства контроля (средства контроля, внедренные в ИТ-услуги, образуют общие средства контроля). В частности, общие средства контроля ИТ ориентированы на логический доступ, управление внесениями изменений, резервирование и восстановление. Средства контроля сетевой безопасности являются частью этого механизма и «необходимы для обеспечения функционирования средств контроля приложений, которые зависят от автоматизированных процессов… [и] все в большей мере дополняют средства контроля приложений и бизнес-процессов». Например, «некоторые требования по контролю бизнес-процессов, такие как обеспечение доступности системы, могут быть удовлетворены только в результате приведения в действие общих средств контроля ИТ». Если средства контроля сетевой безопасности не реализованы или ненадежны, это может привести к возрастанию риска нарушения конфиденциальности, целостности и доступности данных, приложений и жизненно важных бизнес-процессов. Средства контроля сетевой безопасности обеспечивают основу для высокоуровневого контроля приложений и бизнес-процессов и «являются основополагающими, поскольку они поддерживают функционирование средств контроля приложений, применимы ко всем информационным системам, поддерживают возможность безопасной и бесперебойной работы и позволяют снизить риски, препятствующие достижению целей предприятия.***** Являясь первой линией корпоративной защиты, самозащищающаяся сеть Cisco представляет собой основную составляющую стратегии организаций по управлению рисками информационной безопасности, поскольку она предоставляет комплексный системный подход к проблеме сетевой безопасности, поддерживающий общепризнанные в отрасли архитектуру управления и передовые методики. Этот подход позволяет организациям усовершенствовать механизм управления рисками сетевой безопасности и обеспечить их соответствие нормативным документам. 5. Контроль доступа Способность предотвращения некорректного и несанкционированного использования сети на основе политики безопасности чрезвычайно важна для обеспечения защиты доступа к данным, приложениям и жизненно важным бизнеспроцессам организации. Системы доверия и управления идентификацией Cisco предоставляют организациям возможность эффективного и безопасного управления доступом, позволяя определять кто, что, когда, откуда и каким образом может получить доступ к сети. Например, стратегия по контролю 4 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE доступом в сеть Cisco Network Admission Control усиливает инфраструктуру сети, сокращая ущерб от возможных от угроз и атак. Использование Cisco Network Admission Control позволяет организациям повысить эффективность совместной работы средств контроля для обеспечения полного соответствия подключающихся к сети пользователей и устройств установленным политикам безопасности. Это позволяет предотвратить некорректное и несанкционированное использование сети и защитить данные, приложения и жизненно важные бизнес-процессы, необходимые для работы современных организаций. 6. Защищенное взаимодействие В условиях современной рыночной экономики распространение защищенных бизнес-приложений и процессов на малых предприятиях, внешних сотрудников, клиентов или поставщиков крайне необходимо и позволяет повысить деловую активность организации и снизить расходы по эксплуатации. Но также необходимы и средства жесткого контроля, позволяющие обеспечить конфиденциальность, целостность и доступность данных, приложений и жизненно важных бизнес-процессов. С целью поддержки этих деловых стратегий и повышения производительности защищенные сетевые соединения могут быть расширены для обеспечения взаимодействия территориально распределенных офисов компаний или удаленных и мобильных пользователей с центральным офисом предприятия, а также вовлечения клиентов, поставщиков или других деловых партнеров в процесс электронного обмена данными, оформления заказов, отправки продукции и выставления счетов. Для решения этих задач самозащищающаяся сеть Cisco предоставляет широкий спектр возможностей для организаций любого масштаба, позволяющих устанавливать защищенные соединения для распространения данных, приложений и жизненно важных бизнес-процессов, включая IP-коммуникации, что повышает эффективность при совместной работе и производительность. 7. Предотвращение угроз В настоящее время угрозы, нацеленные на информационные системы и сети, это не только вирусы, оказывающие воздействие на отдельные компьютеры пользователей и автономные системы. Современные атаки постепенно становятся более изощренными, опасными и быстрыми и способны за короткий промежуток времени воздействовать на целый ряд компьютеров или систем. В данной ситуации крайне необходимы средства жесткого контроля, обеспечивающие адаптивное обнаружение и предотвращение нарушений безопасности по всей сети. Самозащищающаяся сеть Cisco предоставляет эту возможность. В частности, программа-агент Cisco Security Agent и серверное программное обеспечение в сочетании с технологиями предотвращения сетевых вторжений предоставляет данный уровень контроля. Эти объединенные средства предоставляют возможности адаптивной комплексной защиты от новых и наиболее опасных атак, обеспечивая защиту данных, приложений и жизненно важных бизнес-процессов, необходимых для работы современных организаций. 8. Управление угрозами и создание отчетов Механизм централизованного управления и создания отчетов об инцидентах сетевой безопасности в разнородных ИТ-средах крайне необходим для обнаружения угроз до оказания ими существенного разрушительного воздействия на жизненно важные бизнес-процессы и предоставления удобных сводных 5 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE отчетов, отражающих информацию об угрозе и корректирующие действия. Для удовлетворения этих требований система Cisco MARS (Cisco Security Monitoring, Analysis, and Response System) предоставляет единый подход к проблеме управления сетевой безопасностью и создания отчетов в неоднородных ИТсредах, позволяющий организациям повысить эффективность использования сети и устройств защиты. Являясь ключевым элементом управления безопасностью жизненного цикла, система Cisco MARS предоставляет организациям возможность обнаружения, управления и отражения угроз безопасности. Данная система позволяет повысить рентабельность организации без увеличения инвестиций в существующую сеть и систему безопасности за счет обеспечения совместной работы средств защиты для непрерывного контроля устройств разных вендоров. Кроме того, данная система обеспечивает поддержку соответствия политикам безопасности и может быть включена в состав архитектуры, позволяющей соответствовать нормативным документам. 9. Защищенная инфраструктура и управление изменениями Для обеспечения эффективного управления рисками сетевой безопасности инфраструктура сети организации должна быть построена с помощью компонентов с интегрированными функциями защиты, соответствующими установленным требованиям; при этом сами компоненты должны поддерживать возможности централизованного управления изменениями и аудита, как для проводных, так и беспроводных сетей. Это основание самозащищающейся сети Cisco. Например, базовые компоненты инфраструктуры Cisco включают в себя интегрированные функции обнаружения вторжений и контроля доступа и позволяют выполнить развертывание по всей сети и ввод в эксплуатацию средств контроля безопасности. Кроме того, серверы централизованного управления и система безопасности позволяют определять, распределять и задействовать конфигурации сети и механизм управления изменениями, что исключает возможность выполнения несанкционированных действий. Объединение этих возможностей гарантирует эффективное развертывание необходимых средств контроля безопасности по всей сети для защиты данных, приложений и жизненно важных бизнес-процессов, необходимых для работы современных организаций. 10. Отказоустойчивость и доступность сети организации Обеспечение отказоустойчивости и доступности сети крайне необходимо для поддержки работы приложений и бизнес-процессов во всей инфраструктуре организации. Организациям любого масштаба Cisco предлагает широкий спектр возможностей для реализации стратегий по усилению средств контроля работоспособности сети через обеспечение повышенной отказоустойчивости сети и приложений при одновременном снижении расходов по эксплуатации. Например, система Cisco Configuration Assurance обеспечивает организации возможностями и средствами контроля для систематической проверки сети. Система Cisco Configuration Assurance обеспечивает повышенную защиту и доступность сети организации, а также ее соответствие необходимым нормам и требованиям руководства ИТ. 11. Учет и создание отчетов 6 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE В результате ужесточения требований к конфиденциальности данных, доступности сети и обеспечению безопасности возникла необходимость аудита информационной безопасности на соответствие установленным нормам. Cisco Security Auditor предоставляет новые уровни обеспечения безопасности, позволяя эффективно вести учет информации о сетевой инфраструктуре для оценки соответствия ее объектов корпоративным политикам безопасности и лучшим в отрасли методам. Возможности автоматического учета устраняют необходимость ведения учета вручную – процесса, требующего больших затрат в случае крупномасштабных сетей, позволяя существенно сократить время выполнения операций учета. Cisco Security Auditor, также предоставляет рекомендации по усовершенствованию системы защиты и возможности создания отчетов, упрощающие процесс противостояния угрозам сетевой безопасности. Это позволяет эффективно управлять связанными с сетью рисками. Как результат, это эффективный программный продукт, позволяющий обеспечить проверку соответствия нормам защиты сети, работоспособность сети, при этом повышая производительность и возврат инвестиций (ROI). 12. Служба расширенной поддержки В настоящее время задача поддержки защищенности сетевой инфраструктуры является как никогда актуальной. Обладая большим опытом, знаниями современных технологий сетевой безопасности и проверенными на практике средствами и методами, группа консультантов службы поддержки Cisco Advanced Services поможет при защите ресурсов организации. Консультанты и специалисты Cisco готовы сотрудничать с организациями с целью планирования, проектирования, внедрения и оптимизации систем обеспечения сетевой безопасности, которые играют важную роль в управлении информационной безопасностью. Кроме группы консультантов службы поддержки, многие партнеры стратегического альянса Cisco предлагают специализированные услуги по защите ресурсов организации. 13. Единый подход к обеспечению сетевой безопасности Как было сказано выше, сеть представляет собой первую линию корпоративной обороны, поскольку она является основой всех данных, приложений и бизнеспроцессов. При недостаточной защищенности сети возрастает риск нарушения конфиденциальности, целостности и доступности жизненно важных коммерческих систем. Применяемый вплоть до настоящего времени подход к решению проблемы сетевой безопасности уже не позволяет адекватно управлять рисками, с которыми приходится сталкиваться крупным компаниям. Поэтому необходим глобальный подход, который должен быть интегрированным, совместным и адаптивным; кроме того, этот подход должен упростить механизм управления рисками сетевой безопасности и контроля соответствия нормативным документам. Самозащищающаяся сеть Cisco удовлетворяет этим требованиям за счет комплексного системного подхода к управлению рисками сетевой безопасности, который поддерживает механизмы контроля и передовые методы защиты деятельности предприятия. Этот подход позволяет организациям усовершенствовать механизм управления рисками безопасности и обеспечить их соответствие нормативным документам. Он также позволяет понизить сложность и затраты и одновременно с этим повысить уровень безопасности сети с помощью стандартных процессов (таких как процессы, включенные в CobiT) или за счет 7 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE удовлетворения базовых требований по контролю на основе таких передовых методик, как ISO17799. В каждой организации необходимо внимательно учесть требования по контролю сетевой безопасности для конкретных условий, масштаба и сложности сети. Поэтому данный документ не должен рассматриваться как единственный основной источник. Для определения требований к контролю и нормативам ИТ, которым необходимо следовать, организациям рекомендуется обсудить соответствующие подходы с независимыми аудиторами. Более подробную информацию о том, как самозащищающаяся сеть Cisco поможет управлять рисками сетевой безопасности и осуществлять контроль соответствия, см. по адресу: http://www.cisco.com/go/selfdefend * Governance and the Extended Enterprise : Bridging Business Strategies and IT Strategies, John Wiley & Sons: New Jersey , 2005 Cass Brewer, "The Tao of Compliance: Unifying Controls over Chaos", ( http://www.itcinstitute.com/display.aspx?id=465 ) *** Forrester, Trends 2005: Risk and Compliance Management, October 25, 2004 **** J.L Bayuk, "Stepping through the IS Audit", Information Systems Audit and Control Association: 2004 ***** IT Control Objectives for Sarbanes-Oxley: The Importance of IT in the Design, Implementation, and Sustainability of Internal Control over Disclosure and Financial Reporting, IT Governance Institute: 2004 ** 8
